2019年6月1日，GandCrab勒索病毒精英团队在相关社区论坛发布德语官方网申明，将终止升级，这款2018年最时兴的勒索病毒，在2019年6月总算告一段落……随后它的小故事完后，钱赚可以了，却打开了潘多拉魔盒，后边会出现愈来愈多的GandCrab精英团队不断涌现出去……对这个勒索病毒，我追踪了一年半，一年半以后GandCrab运营团队赚可以了，退居二线了，我却仍坚持不懈着.追踪各种各样故意大家族样版…..

汉语翻译以后，意思差不多，以下所示：

在与大家协作的那一年里，大家早已赚了20多亿美元，大家早已变成地底销售市场中勒索手机软件 *** 者方位的代表者。 大家每星期的收益均值为250万美金。大家每人每天赚得超出1.五亿美金。大家取得成功兑付了该笔钱，并在日常生活和互联网技术上的将获得的钱取得成功合法。

大家很高兴与你协作，可是，如上所述，全部的好事儿都是会完毕。

我们要离去这一实至名归的退休后的生活。

大家早已证实，根据做恶事为，对付不容易来临。大家证实，在一年内你能终身挣钱。 大家早已证实，有可能变成一个并不是我们自己得话，只是为了更好地嘉奖别人。

1、终止地区 *** 主题活动;

2、大家规定地区 *** 中止总流量

3、从这一时间起的20天内，大家规定地区 *** 以一切 *** 根据她们的丧尸服务器进而将保释金货币化

4、受害人 – 假如您如今选购密匙，但您的数据信息将没法修复，由于密匙将被删掉

大约含意便是上边，运营团队做的很绝，在赚了那么多钱的状况下，仍沒有惦记着发布密匙，随后删掉全部的密匙，以前有精英团队称她们为“侠盗勒索病毒”，是由于她们在中后期的版本中绕开了也门地域，但她们并沒有“善良”释放全部的密匙，并且挑选消毁…….

开始

GandCrab1.0初露锋芒

GandCrab勒索病毒，我之一次接触它是在一个海外安全性科学研究工作人员的社区论坛上，相关的网站论坛：以下所示：

那时候我认为这一勒索较为有趣，因此有从app.any.run网站到相关的样版，以下所示：

2019年1月26号，我之一次剖析了GandCrab1.0版本的样版，它的之一代，应用了编码自破译技术性，在运行内存中破译出勒索病毒的关键编码，随后更换到相对的存储空间中实行,那时候它只向客户勒索达世币，数据加密后缀名为:GDCB，剖析完以后GandCrab运营团队在2019年1月28号，在社区论坛上公布了相关的售卖帖子，以下所示：

那时候我还没有添加如今的企业，也没发觉这款勒索在后面一年半的情况下能变的这般受欢迎……

演化

GandCrab2.0

2018年2月份，我添加了新的企业，承担勒索病毒这方面的业务流程，GandCrab在2018年3月份的情况下演化出了GandCrab2.0版本，关键是由于3月初GandCrab勒索病毒的 *** 服务器被爱沙尼亚一家安全性企业和警察攻克，能够取得成功修复GandCrab数据加密的文档。病毒感染开发者快速升級了版本V2，并将服务器取名为politiaromana.bit，叫嚣爱沙尼亚警察，以前 *** 服务器的服务器为gandcrab.bit…..

剖析GandCrab2.0版本的，应用了代码混淆，花指令，反调节等技术性，另外它应用了双光束引入技术性，将破译出去的勒索病毒关键Payload编码，引入到相关的过程之中，随后实行相对的勒索数据加密实际操作，数据加密后缀名为：CRAB……

GandCrab2.1

2018年4月，我收到顾客应急处理，发觉了之一例GandCrab勒索实例，根据剖析，发觉它便是以前我剖析过的GandCrab2.0版本的升級，该版本号为GandCrab2.1，随后大家公布了相关的剖析预警信息汇报，以下所示：

GandCrab3.0

在公布预警信息以后，我监管到一款新的GandCrab新的变异，取名为GandCrab3.0，这款勒索病毒关键根据邮件附件的 *** ，在一个DOC文本文档中实行VBS脚本 *** ，随后免费下载GandCrab3.0勒索病毒并实行，数据加密后缀名与以前2.0版本一样为:CRAB，以下所示：

GandCrab4.0

2018年7月，再度收到顾客应急处置，根据剖析发觉它归属于GandCrab大家族，此次数据加密后缀名为:KRAB，另外勒索运营团队在勒索信息内容中初次应用了TOR付款网站的 *** ，让受害人联络，随后破译，大家也在之一时间公布了相关的预警信息，以下所示：

GandCarb4.3

GandCrab4.0以后，2018年8月底，我捕捉到GandCrab的一个新版本GandCrab4.3版本，由此可见这款勒索升级是这般之快，对样版开展了深入分析，并公布了相关的深入分析汇报，以下所示：

GandCrab5.0

在2018年9月份的情况下，我发现了这款勒索病毒又升级了，并且应用了大量的 *** 散播，不仅根据VBS脚本 *** 实行免费下载，还会继续应用PowerShell脚本 *** ， *** 脚本的 *** 免费下载散播实行，捕捉取了它的相关样版，并破译出相对的脚本 *** ，以下所示：